Twee professionals schudden elkaar de hand aan een tafel.
Inzicht10 juli · 17:007 min leestijd

De Cyberbeveiligingswet is nu definitief: 'niet-kritiek' houdt je mkb niet buiten de keten-eis

De Cyberbeveiligingswet geldt vanaf 15 augustus 2026 voor 8.000 organisaties. Val je er formeel buiten, dan komt de eis alsnog binnen: als securityvragenlijst van je grootste klant. Je deadline is je volgende contract, niet de wet.

De meest gestelde vraag over de nieuwe Cyberbeveiligingswet is ook de verkeerde. "Vallen wij eronder?" Je telt je medewerkers, je kijkt naar je sector, je concludeert dat je te klein of te weinig kritiek bent, en je sluit het tabblad met een gerust gevoel. Dat gevoel klopt op papier. En het is precies wat je straks je grootste klant kan kosten.

Sinds begin deze maand is die scope-vraag geen theorie meer. De Cyberbeveiligingswet, de Nederlandse invulling van de Europese NIS2-richtlijn, is definitief per 15 augustus 2026 van kracht voor ruim 8.000 organisaties in achttien sectoren. Geen "naar verwachting", geen "rond de zomer", maar een harde datum. Alleen raakt de wet een veel grotere groep dan die 8.000. Wie zichzelf "niet kritiek" noemt en daarmee buiten schot denkt te blijven, onderschat het onderdeel dat het verst reikt: de keten-eis. Niet de wet trekt je erbij. Je klant doet dat.

Mijn stelling is simpel. "Niet-kritiek" beschermt je niet, want de zorgplicht komt niet via de toezichthouder je bedrijf binnen, maar via het contract van je opdrachtgever.

De wet regelt 8.000 bedrijven en zet er tienduizenden aan het werk

De oude Wet beveiliging netwerk- en informatiesystemen raakte een kleine duizend organisaties. De Cyberbeveiligingswet vele malen meer. Die uitbreiding is het nieuws, maar niet het interessante deel. Het interessante deel is wat elk van die 8.000 organisaties met zijn leveranciers moet doen.

De zorgplicht verplicht hen tot een risicoanalyse en passende, evenredige maatregelen voor hun eigen systemen. Maar een van die maatregelen gaat expliciet over jou: het beheersen van de risico's in de toeleveringsketen. Een essentiele of belangrijke entiteit moet zijn leveranciers in kaart brengen, hun beveiliging beoordelen en die afspraken vastleggen in contracten. De wet regelt daarmee 8.000 bedrijven en zet ze tegelijk aan het werk als controleur van iedereen die aan hen levert. Reken hun toeleveranciers mee en je zit al snel in de tienduizenden.

Dat is de eerste denkfout in "wij vallen er niet onder": je leest de wet als een lijst van wie eronder valt, terwijl het effect zit in wat die lijst met de rest van de markt doet. De scope-check die bepaalt of je een belangrijke of essentiele entiteit bent is nuttig om je juridische status te kennen. Hij zegt alleen niets over de eisen die via je klanten alsnog op je bord belanden.

De eis komt binnen als een vragenlijst, niet als een wetsartikel

Zo voelt de keten-eis in de praktijk: een security-vragenlijst van een grote klant, met NIS2 in de kop. Geen dagvaarding, geen inspecteur, maar een leveranciersformulier bij een offerteronde of een contractverlenging. En de vragen zijn concreet. Kun je aantonen dat je software patcht? Dwing je multifactor-authenticatie af? Heb je securitybeleid dat op papier staat, in plaats van "we regelen het wel" op gevoel? Steeds vaker verwijzen de inkoopvoorwaarden bovenop dat alles naar een keurmerk of certificaat.

Voor de ondernemer die dacht buiten scope te vallen, is dat een ongemakkelijke ontdekking. De wet is misschien niet op jou van toepassing, de eisen zijn dat wel. Ze komen alleen niet van de Rijksinspectie Digitale Infrastructuur, ze komen van degene die je factuur betaalt. En anders dan een toezichthouder hoeft je klant geen zaak op te bouwen. Hij kan de opdracht simpelweg ergens anders neerleggen.

Je contract heeft een kortere deadline dan de wet

Ondernemers rekenen zo'n wet vaak door op het risico van een boete. Voor essentiele entiteiten loopt die op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, voor belangrijke entiteiten tot 7 miljoen of 1,4 procent. Indrukwekkende bedragen, maar voor de meeste mkb'ers abstract: het toezicht op belangrijke entiteiten is reactief, en of er ooit een inspecteur langskomt is onzeker.

Contract-druk werkt anders. Die is niet reactief maar direct, en niet onzeker maar aanwezig bij elke aanbesteding. Een boete is een risico dat zich misschien nooit realiseert. Een klant die je vragenlijst afkeurt en de opdracht aan een weerbaarder concurrent gunt, is een verlies dat zich meteen realiseert. Voor een toeleverancier is de vraag daarom niet of hij een boete riskeert, maar of hij zijn beste account houdt.

Dat verschuift ook de deadline. De Cyberbeveiligingswet kent geen overgangsperiode: wie er rechtstreeks onder valt, moet op 15 augustus voldoen. Voor jou als leverancier is de echte datum eerder: de eerstvolgende keer dat een klant die wel onder de wet valt zijn contract met je verlengt of een nieuwe opdracht uitzet. Dat kan volgende maand zijn. Het kan gisteren al geweest zijn.

Om eerlijk te zijn: juridisch klopt jouw tegenwerping

Het eerlijke tegenargument is dat dit juridisch rammelt. Een klant kan een wet die niet op jou van toepassing is, niet op jou van toepassing verklaren. Als jij formeel buiten de scope valt, dan val je buiten de scope, punt. Dat klopt. En toch verandert het niets.

Want je klant hoeft de wet helemaal niet op jou van toepassing te verklaren. Hij hoeft alleen te bepalen met wie hij zaken doet, en dat mag hij. Een beveiligingseis in een contract is geen wetstoepassing, het is een inkoopvoorwaarde, en die is volkomen legaal en steeds normaler. De wet dwingt jouw klant, jouw klant dwingt jou, en de keten waarin dat gebeurt is precies wat de wet wilde beschermen.

De eisen die zo naar beneden rollen, zijn ook niet exotisch. Het zijn multifactor-authenticatie, tijdig patchen en werkende back-ups, de basislagen die je zelf kunt nalopen. Zelfs als je het puur als een opgelegde last ziet, vraagt je klant je om precies datgene te regelen wat je na een incident sowieso had willen hebben. Het "wij vallen er niet onder" is technisch waar en praktisch irrelevant.

De verkeerde vraag, en de vraag die je omzet bepaalt

Daarmee is de scope-vraag niet alleen de verkeerde vraag, maar ook een geruststelling die je op het verkeerde been zet. "Vallen wij eronder?" gaat over de wet. De vraag die je omzet bepaalt, gaat over de markt: kun je aantonen dat je veilig genoeg bent op het moment dat je beste klant erom vraagt?

Dat is de echte verschuiving achter 15 augustus. Cyberweerbaarheid is geen compliance-onderwerp meer dat je afvinkt zodra de wet je dwingt. Het wordt een handelsvoorwaarde, net als een geldige inschrijving of een aansprakelijkheidsverzekering: geen bewijs dat je bijzonder bent, maar het minimum om mee te mogen doen. De wettelijke scope is de ondergrens van wie het moet regelen, niet de bovengrens van wie ermee te maken krijgt.

Wie zichzelf te klein of te weinig kritiek rekent om zich druk te maken, laat die keuze over aan een ander. Niet aan de toezichthouder, die komt misschien nooit. Aan de klant, die volgende week zijn vragenlijst stuurt. En die heeft de deadline allang gezet.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Aantoonbaar veilig richting je klanten

Ik denk met je mee hoe je die security-eisen niet in een map met sjablonen stopt, maar in je echte systemen laat landen, en ik ontwerp en bouw de processen en koppelingen die het aantoonbaar maken.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht
Nieuws
4 min

7 jul 16:11

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht

De Eerste Kamer nam de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aan. Beide gaan op 15 augustus in, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan de nieuwe cyberplichten te voldoen.

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen
Gids
9 min

26 jun 19:03

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen

De Cyberbeveiligingswet maakt cybersecurity een wettelijke plicht. Zo bepaal je of je eronder valt en welke stappen je in welke volgorde zet om op tijd te voldoen.

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting
Nieuws
3 min

8 jul 14:48

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus
Nieuws
5 min

1 jul 15:23

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus

De Eerste Kamer stemt 7 juli over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Bij een ja kan de wet al op 15 augustus ingaan voor ruim 8.000 organisaties.

Cloud-repatriëring: waarom bedrijven terugkeren naar eigen hardware zodra de gratis credits op zijn
Inzicht
7 min

10 jul 09:00

Cloud-repatriëring: waarom bedrijven terugkeren naar eigen hardware zodra de gratis credits op zijn

De cloud werd niet duur, hij was altijd duur voor een vlakke, voorspelbare last. Gratis credits verbergen dat tot ze op zijn. Betalen per gebruik loont bij pieken en straft een blijvende last. Daarom komt de hardware terug.

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen
Nieuws
4

7 jul 22:24

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen

De Europese Commissie kwam op 7 juli met een Actieplan Cybersecurity en AI. Het bevat vooral aanbevelingen en Europese testcapaciteit, geen nieuwe verplichtingen. Voor Nederlandse bedrijven blijven NIS2 en de AI Act de harde compliancelat.